什麼是事件回應？

當發生數位或實體漏洞，損害組織系統或敏感資料的機密性、完整性或可用性時，就會發生安全性事件。安全事故可能是由駭客或未經授權的使用者所造成，也可能是由於公司使用者或供應鏈中的合作夥伴無意間違反安全政策。

常見的安全事故包括

勒索軟體

勒索軟體 是一種犯罪商業模式，利用 惡意軟體 扣留有價值的檔案、資料或資訊以索取贖金。勒索軟體攻擊的受害者的作業可能會嚴重性降低或完全關閉。挾持有價值的東西來索取贖金並不是新概念，但勒索軟體已經成為價值數百萬美元的犯罪事業，其目標對象是個人和企業。由於其進入門檻低且能有效創收，因此迅速取代其他網路犯罪商業模式，成為組織目前面臨的最大威脅。

商業電郵洩密 (BEC)

 

根據 Unit 42^® 事件回應案例的 調查 ，89% 遭受商業電子郵件入侵 (BEC) 攻擊的組織，都沒有開啟 MFA 或遵循電子郵件安全最佳實務。此外，在這些事件回應案例中，有 50% 的組織在主要的網路系統上缺乏 MFA，例如企業網路郵件、虛擬私人網路 (VPN) 解決方案，以及其他遠端存取解決方案。

未經授權存取系統或資料

由於許多企業將工作負載遷移至公有雲端，攻擊者將目標對準配置不當的雲端環境，讓他們不需要找到並利用漏洞或利用複雜的技術，就能取得初始存取權。攻擊者通常會尋找配置不當的雲端環境，這不足為奇。

根據 Unit 42 雲端威脅報告的一卷資料顯示，僅身分與存取管理 (IAM) 設定錯誤就造成 65% 的可測量性雲端安全事故。

供應鏈攻擊

協助組織加快開發週期的敏捷式軟體開發，通常會依賴第三方程式碼來達到快速的成果。如果攻擊者攻擊第三方開發人員或其程式碼儲存庫，就有可能讓他們有機會滲透數以千計的組織。

網頁應用程式攻擊

安全性團隊很難追蹤隨時間不斷變更、移動和增加的資產。這意味著，隨著跨這些 攻擊面 的非受管理資產數量也不斷地增加，非受管理的 攻擊面 也在不斷地增加。因此，攻擊者越來越擅長於掃描網際網路以尋找易受攻擊的系統，並在修補漏洞前利用安全漏洞。對攻擊者而言，低風險的果實包括基本安全衛生（如強密碼、MFA 部署）和零時差、未修補的漏洞（如 SolarWinds 和 Log4j 所見）。

閱讀我們的文章「 雲端事件回應」，瞭解更多關於在雲端環境中回應事件的資訊。

什麼是事件回應生命週期？

事件回應生命週期是建議的 SOC 如何準備和回應攻擊的基礎。Unit 42 確認此生命週期有五個步驟：

1. 定義參與範圍，以評估攻擊及其如何影響環境。
2. 透過 Cortex XDR等安全工具收集和分析證據，充分瞭解事件。
3. 將攻擊者從您的環境中遏制並清除，並針對新的惡意活動實施全天候監控。
4. 實作調查結果，並透過強化安全控制從事件中復原。
5. 汲取外洩事件的教訓，改善事件回應計畫，以改善安全勢態。

儘管在發生攻擊時，會有特定的團隊領導 SOC，但 SOC 的所有成員都必須熟悉事件回應生命週期，這被視為最佳作法。

什麼是事件回應計畫？

事件回應計畫 (IRP) 是 SOC 的重要部分，它定義了何謂事件，並概述了明確、有指導性的回應。IRP 由事件回應團隊管理和制定，他們應該不斷地檢閱、測試、執行，並視需要更新計畫。這些計畫在事件或違規事件受到控制後仍會繼續運作，為事件相關的適當記錄和下游活動提供不斷地指導。

事故不僅是安全問題，也是業務問題。資料遺失、員工和客戶受傷或聲譽受損，這些都是事故可能對企業造成損害的幾種方式。制定 IRP 可在危機期間指導組織，並確保每個人都瞭解自己的角色和責任。

事件回應計畫 vs. 災難復原計畫

事件回應計畫與災難復原計畫 (DRP) 非常相似，但事件回應計畫著重於廣泛的網路安全威脅，而災難復原計畫則著重於透過備份或備援恢復基礎架構、資料和功能。兩者都是為了將組織的損害降到最低，但 IRP 處理的是主動的威脅和漏洞，而 DRP 處理的是基礎架構或業務流程受到嚴重性影響的情況。

儘管這些文件類似，但仍需分開維護；不過，每份文件參考另一份文件的情況並不罕見。許多組織會將其串聯使用，作為大型業務持續性計畫 (BCP) 的一部分。以建議的網路安全架構維護健全的 IRP，將能以不同於 DRP 的方式保護組織。

如何建立事件回應計畫

在建立 IRP 時，安全領導者應該瞭解其業務的短期與長期需求。但識別需求、風險和弱點只是個開始。

在建立徹底的 IRP 時，建立由誰維護、啟動時如何辨識、組織溝通計畫，以及辨識績效指標和合規性需求的計畫是很重要的。

沒有放諸四海皆準的 IRP。建立一個需要安全性團隊不懈地測試和編輯。以下是建立和測試計劃的一些額外提示：

• 評估並列舉您的潛在風險。
• 使用清晰的語言和明確的術語。
• 確定如何通知內部利害關係人，例如營運部門和資深管理階層。
• 如果您選擇使用預先製作的範本，請根據您的特定需求進行調整。
• 經常使用紫隊或桌面演練等技術測試您的計劃，以便在需要時做出變更。
• 利用 Cortex XSOAR 等事件回應技術，最佳化並自動化回應工作流程，根除惡意活動。

如果您正在尋找 IRP 範本或其他指導， Unit 42 提供 IRP 發展與審查服務。當您與 Unit 42 合作夥伴時，您將在專家的協助下建立並驗證您的事件回應計畫。

準備工作無疑是事件回應的重要部分，但 SOC 能夠在危機發生時準確執行也同樣重要。在不確定發生了什麼事的時候，許多公司會請求事件回應服務，以協助即時偵測、控制和消除。

深入瞭解事件回應計畫，以瞭解為什麼它們對於成功分流事件至關重要：什麼是 事件回應計畫？開始使用。

何謂數位鑑識與事件回應？

通常，數位鑑識會與事件回應工作結合，以建立更廣泛的 數位鑑識與事件回應 (DFIR) 流程。數位鑑識專門收集和調查資料，目的在於重建事件，並提供整個攻擊生命週期的完整畫面，這通常涉及到復原已刪除的證據。

合併後，DFIR 可判斷問題的根本原因、識別並尋找所有可用證據，並提供持續支援，以確保組織的安全勢態在未來得到強化。

按一下這裡 加入 Cortex 的 DFIR 社群。

事件回應是網路安全中複雜而重要的一環。對於建立事件回應計畫的安全性團隊而言，最好的建議就是不要焦慮。做好準備和計劃，但不要驚慌！就像一般的網路安全一樣，事件回應並不是要為每次網路攻擊做好 100% 的準備，而是要不斷地學習和強化流程，以在安全計畫中建立彈性。只要您知道要採取哪些步驟、如何尋找最佳的協助，以及要避免哪些陷阱，您就能夠帶領您的 SOC 渡過任何安全事故。為攻擊做準備的一部分就是了解事件回應生命週期。

如果這些攻擊真的發生，SOC 可以實作 DFIR，以便更好地瞭解其環境以及這些攻擊是如何得逞的。

瞭解為何數位調查服務結合事件回應專業知識，對於管理日益複雜的現代網路安全事件至關重要： 數位鑑識與事件回應

事件回應框架與階段

事件回應架構提供組織建立 IRP 的標準。雖然不需要實作這些框架，但這些框架對 SOC 來說，是建立和調整計劃的絕佳準則。有兩個特別知名的網路機構，其架構組織可以參考：

1. 美國國家標準與技術研究院 (NIST) 架構提供詳細步驟，說明如何建立 IRP、建立 CSIRT 以及訓練員工。雖然 NIST 包含所有技術的架構，但 NIST SP 800-61 詳細說明了其對於 IR 的建議。
2. SANS Institute 提供訓練課程和證書，以及 20 頁的 IR 手冊 。Unit 42 在協助客戶建立 IRP 時，會使用這些架構以及 MITRE ATT&CK 和 網際網路安全中心 的指引。

事件回應團隊

許多組織都有專門負責事件回應的特定團隊。這個團隊有不同的名稱，例如電腦安全性事件回應團隊 (CSIRT)、網路事件回應團隊 (CIRT) 或電腦緊急回應團隊 (CERT)。CSIRT 可由事件回應管理員、事件回應分析員、數位鑑識分析員、惡意軟體逆向工程師和威脅研究員組成。許多這些團隊都是由首席資訊安全官 (CISO) 或 IT 主管所領導。

在某些情況下，組織會選擇結合內部團隊與外部事件回應合作夥伴 (例如 Unit 42) 的努力與能力。以額外的專家來補充團隊是一個很好的策略，可以滿足不同層級的主題專業知識需求。由於網路攻擊可能形形色色，因此能與經驗豐富的外部合作夥伴合作，在必要時彌補技術上的不足，是非常有益的。

除了有專注於網路的團隊成員外，事件回應團隊中有非安全性的利害關係人也是有益的。這可能包括法律、風險經理、人力資源及其他業務功能。

例如，團隊中最好有人力資源代表，以防安全事故涉及員工，如內幕人士威脅或資料洩漏。在團隊中加入法律總顧問，對於評估法律影響或事件是否牽涉第三方（如客戶或供應商）非常重要。最後，CSIRT 應該有一位公共關係專家，以便向相關各方呈現正確的資訊。

擁有一支全面且有能力的事件回應團隊是事件回應程序的重要一環。CSIRT 在危機發生時扮演專家的角色，也應花時間研究威脅、鼓勵最佳實務，並制定事件回應計畫。

事件回應工具與技術

除了事件回應計畫之外，安全性團隊還需要工具來協助他們快速且大規模地回應安全性警示，從發現到偵測與回應。SOC 使用的傳統工具包括 EDR、SIEM，以及數百種針對 SOC 團隊行銷的其他工具。但是，如果您考慮將 IR 流程的關鍵部分自動化，則最好選擇緊密整合並允許資料分享的工具，以提供對整個組織所發生的事情的全面可見性和上下文。此方法還可將作業效率降至最低，並減少您的團隊因需要管理大量工具而產生的學習曲線。

事件偵測與預防

尋找一個整體性的生態系統，可檢視針對性威脅偵測、行為監控、情報、資產發現和風險評估的安全勢態。

Cortex XDR 等延伸偵測與回應解決方案 (XDR) 可從多種（某些情況下是互補的）來源整合不同的遙測資料，包括 EDR、網路流量分析 (NTA)、使用者與實體行為分析 (UEBA) 以及妥協指標 (IoC)。然後，它會執行以 ML 為基礎的行為分析，將相關的警示分組，將這些警示放入時間線中，並揭示根本原因，以加快所有技術層級分析師的分流和調查速度。

與網際網路連結的資產發現與減緩

雲端和遠端工作的興起，意味著攻擊面不斷移動、變更，而且變得更加複雜。此外，掃描技術的進步讓攻擊者可以快速輕鬆地掃描整個網路，找出攻擊媒介，揭露被遺棄、惡意或設定錯誤的資產，這些資產可能成為入侵的後門。部署 Cortex Xpanse 之類的 攻擊面管理 解決方案，可以持續評估組織的外部攻擊面，不斷地更新與組織網路連線的所有資產 (包括 IP 位址、網域、憑證、雲端基礎架構和實體系統) 的完整清單，並映射出組織內負責各資產的人員。

事件回應與安全協調、自動化與回應 (SOAR)

像 Cortex XSOAR 這樣的 安全協調、自動化和響應 (SOAR) 技術有助於在單一平台內協調、執行和自動化不同人員和工具之間的任務。這不僅可讓組織快速回應網路安全攻擊，還可觀測、瞭解和預防未來的事件，進而改善整體安全勢態。

根據 Gartner 的定義，全面的 SOAR 產品應在三種主要軟體功能下運作：威脅與弱點管理、安全性事件回應及安全性作業自動化。

威脅與弱點管理是對威脅訊息的管理，可為威脅情報與事件回應團隊提供額外的情境，以瞭解事件中的 IoC 或野生的新威脅，而安全性作業自動化則是在自動化的事件回應工作流程中，協調 SOC 中使用的安全性工具，以加速事件的調查與修復。

事件回應服務

許多 SOC 的資源有限，甚至根本不存在，無法有效回應事件。這就是為什麼許多公司選擇僱用外部合作夥伴來協助處理事件回應需求的原因。這些合作夥伴提供服務來監控、偵測及應對發生的安全性事件，以補足甚至取代內部團隊。

就 Unit 42 的 IR 服務而言，我們的專家全天候待命，部署資源以滿足您的事件回應需求。我們可以部署一流的工具，例如 Cortex XDR ，在幾分鐘內控制威脅和收集證據。然後，這些資訊將被濃縮為有助於強化您的 IRP 的事後分析。觀看以下視訊，瞭解 Unit 42 專家將如何運作，成為您團隊的延伸。

使用 Unit 42 保固器，在幾分鐘內啟動您的回應

有了 Unit 42 Retainer，您的組織將收到事件回應的預付點數。您的 SOC 可以將我們的專家變成您團隊的延伸，讓他們在您需要協助時隨時待命。當出現問題時，您不會進行瘋狂的資源搜尋。取而代之的是，當您打電話時，已經熟悉您所處環境的專家會在現場提供協助。

如果您沒有將所有的預約信用額用於 IR，您可以將這些信用額用於 Unit 42 的其他網路風險管理服務，以協助您更積極主動，包括 IRP 發展、風險評估等等。

進一步瞭解事件回應

事件回應需要隨著瞬息萬變的威脅環境而演進，而這首先需要瞭解最新趨勢。若要精確呈現事件回應的現況與未來，請查看 2022 年 Unit 42 事件回應報告。

免費的 Unit 42 電子書《 在創紀錄的時間內應對威脅》提供了一份指南，可協助您的團隊快速偵測、應對和控制安全性事件。

事件回應常見問題